我可以使用 LDIF 文件和 ldapadd 在 Active Directory 中添加 AccessControlEntry (ACL/ACE) 吗?使用 OpenLDAP / Oracle Directory 似乎可以。
我试过了:
## delegate Control / add ACI
dn: OU=nocluster2,OU=AWS-myaccount,OU=BigData,DC=BLA,DC=COMPANY,DC=COM
changetype: modify
add: aci
aci: (targetattr="*")(version 3.0; acl "give csmith full rights"; allow(all) userdn = "ldap:///CN=noclusteradm2,OU=nocluster2,OU=AWS-myaccount,OU=BigData,DC=BLA,DC=COMPANY,DC=COM";)
当然我得到了错误
ldap_modify: No such attribute (16)
additional info: 00000057: LdapErr: DSID-0C090F64, comment: Error in attribute conversion operation, data 0, v3839
我必须从 Linux/ansible 运行这些命令并避免 powershell/DACL.exe/windows 调用等。